Bot分类

• 善意Bot：主要用于方便人们的生活和工作，比如搜索引擎、网站监测等。
• 恶意Bot：主要体现为破坏网络的安全性和稳定性，比如CC攻击、撞库、恶意扫描、自动化抢票等。

实际上，我们并不能直接清楚地分辨出所有善意Bot或者恶意Bot，网络中还存大量未知类型的Bot。需要应用体系化的Bot识别方案来管理这些Bot流量。

进入Bot管理页面

1. 登录非凡安全控制台，在已开通产品下，找到正在使用的安全产品并点击进入。
2. 前往防护配置>安全策略页面。
3. 定位到要配置安全策略的域名，点击 ，进入安全策略编辑页面。
4. 选择Bot管理页签，如果Bot管理已关闭，请先开启。

场景一：缓解爬虫工具对网站访问压力

• 配置基础检测策略：

  • 放行网站特有的监控工具（如有）。根据监控工具特征，在自定义Bot中创建规则，并将处理动作设置为放行。了解更多。
  • 放行搜索引擎爬虫，保障网站的SEO效果。在已知Bot中，将搜索引擎大类的处理动作设置为放行；如果没有此类需求，也可直接将处理动作设置为拦截。
  • 拦截常见的商业化工具或者开源工具。在UA特征检测中，将低版本UA、伪造UA、自动化工具、爬虫工具等大类的处理动作设置为拦截。

• 启用客户端风险检测：

  • 确认网站是否存在Web/H5网页以外的业务。如果有，将相关业务特征配置到应用请求白名单，避免Web风险检测策略启用后，影响此类业务的正常访问。了解更多。
  • 启用基于JavaScript技术的Web增强防护方案。将Web风险检测的处理动作设置为拦截。了解更多。

正式部署前，建议先通过页面下方的“部署-预部署”按钮进行预部署测试，提前验证Web风险检测的JS SDK与您网站的兼容性。

• 确认配置无误后，点击页面下方的部署按钮，并在确认变更信息页点击直接部署，以使配置生效。

场景二：拦截不符合正常业务访问逻辑的行为

针对不符合正常业务访问逻辑的行为，比如：自动化工具绕过页面访问，直接对某个接口发起持续攻击。此类场景建议在场景一的基础上，配置业务流检测策略以加固防护。配置示例详见：业务流检测详情。

场景三：缓解流量盗刷行为带来的带宽成本突增

• 流量分析：

  • 登录非凡安全控制台。
  • 在已开通产品下，根据您购买的加速产品，选择网页加速/下载分发/全站加速/点播分发/安全加速解决方案，并前往统计分析。
  • 在用量分析页面，筛选存在疑似流量盗刷域名和时间段，查看带宽流量图中是否有非预期的带宽突增，以及区域/运营商分布统计表中总流量是否主要聚集在个别地区。
    
    
  • 在热门排行页面，筛选存在带宽突增的域名和时间段。在域名页签下，查看TOP URL统计表中排名前列的URL总流量是否远高于其他URL，以及TOP 访客统计表中排名前列IP是否呈现聚集性（比如同一个IP C段）。
    
  • 如果该域名符合上述现象，基本可以断定网站存在流量盗刷行为。

• 流量盗刷时段的域名带宽＞200Mbps：

  • 前往网站云防护>防护配置>安全策略>Bot管理，右上角选择被盗刷的域名，打开异常流量检测的开关，将处理动作设置为监控并完成部署操作。
  • 建议监控状态运行1~7天后，前往攻击日志筛选策略名称（Bot管理）等于异常流量检测的日志，确认是否有明显的误报。如果发现误识别的IP或JA3指纹，可添加到异常流量检测下的防护例外中。
  • 确认无误后，将异常流量检测下的处理动作置为拦截。更多注意事项，详见启用异常流量检测阻止流量盗刷行为。

若控制台没有异常流量检测配置入口，请联系技术支持开通。

• 流量盗刷时段的域名带宽≤200Mbps：
  • 基于前期的流量分析结论，可前往自定义规则配置规则阻断造成异常突增流量的IP或IP C段，处理动作建议设置为断开连接以减少响应量。了解更多
  • 另外，您也可以向技术支持寻求帮助。